Leitfaden zur Passwortstärke-Analyse: Bewerten und Erstellen sicherer Passwörter
Drei Dimensionen der Passwortstärke
Die Sicherheit eines Passworts wird durch drei Kern-Dimensionen bestimmt:
1. Länge
Die Länge ist der wichtigste Faktor. Jedes zusätzliche Zeichen multipliziert die Brute-Force-Versuche mit der Zeichensatzgröße.
| Länge | Nur-Ziffern-Kombinationen | Knackzeit (1Mrd./Sek) |
|---|---|---|
| 4 | 10.000 | Sofort |
| 6 | 1.000.000 | 0,001 Sek |
| 8 | 100.000.000 | 0,1 Sek |
| 12 | 1 Billion | 17 Min |
| 16 | 10 Billiarden | 50 Jahre |
| 20 | 100 Trillionen | 30.000 Jahre |
2. Zeichensatzgröße
Ein größerer Zeichensatz bedeutet mehr Kombinationen pro Zeichen:
| Zeichensatz | Verfügbare Zeichen | Beispiel |
|---|---|---|
| Nur Ziffern | 10 | 0-9 |
| Kleinbuchstaben | 26 | a-z |
| Groß + Klein | 52 | a-z, A-Z |
| Groß + Klein + Ziffern | 62 | a-z, A-Z, 0-9 |
| Voller Zeichensatz | 95 | a-z, A-Z, 0-9, !@#$%... |
3. Entropie
Die Entropie misst die Zufälligkeit des Passworts mathematisch:
Entropie (Bits) = log₂(zeichensatz_größe ^ länge) = länge × log₂(zeichensatz_größe)
| Passwort | Zeichensatz | Länge | Entropie | Bewertung |
|---|---|---|---|---|
123456 |
Ziffern | 6 | 19,9 Bit | Sehr schwach |
abc123 |
Klein+Ziffern | 6 | 31,0 Bit | Schwach |
Abc123 |
Gemischt+Ziffern | 6 | 35,7 Bit | Schwach |
Kx9#mP2v |
Voll | 8 | 52,6 Bit | Mittel |
Kx9#mP2vLq5! |
Voll | 12 | 78,9 Bit | Stark |
Kx9#mP2vLq5!nR8@ |
Voll | 16 | 105,2 Bit | Sehr stark |
Industriestandard: Entropie ≥ 80 Bit ist stark, ≥ 100 Bit ist sehr stark.
Gängige Angriffsmethoden
Brute Force
Alle möglichen Kombinationen ausprobieren. Verteidigung:
- Länge und Zeichensatz erhöhen
- Kontosperrung und Ratenbegrenzung verwenden
Wörterbuchangriff
Häufige Passwörter aus Wörterbüchern ausprobieren (z.B. rockyou.txt mit 14M Einträgen). Verteidigung:
- Häufige Passwörter vermeiden (
123456,password,qwerty) - Wörterbuchwörter vermeiden (
sunshine,iloveyou)
Rainbow-Table-Angriff
Vorab berechnete Hash-Tabellen zur Rückwärtssuche von Passwörtern. Verteidigung:
- Serverseitiges Salted Hashing (Salt + Hash)
- Langsame Hash-Algorithmen wie Bcrypt verwenden
Credential Stuffing
Leaked Zugangsdaten von einer Seite verwenden, um sich bei anderen anzumelden. Verteidigung:
- Einzigartiges Passwort pro Seite
- Passwort-Manager verwenden
Das Passwortstärke-Tool verwenden
Schritt 1: Tool öffnen
Öffnen Sie Passwortstärke, geben Sie das zu testende Passwort ein.
Schritt 2: Ergebnisse prüfen
Das Tool zeigt in Echtzeit:
- Stärkebewertung: Sehr schwach / Schwach / Mittel / Stark / Sehr stark
- Entropie: In Bits
- Zeichensatzanalyse: Welche Zeichentypen verwendet werden
- Geschätzte Knackzeit: Basierend auf verschiedenen Angriffsgeschwindigkeiten
- Verbesserungsvorschläge: Wie man das Passwort stärkt
Schritt 3: Verbessern
Wenn die Bewertung zu niedrig ist:
- Länge erhöhen (am effektivsten)
- Fehlende Zeichentypen hinzufügen
- Sequenzielle und wiederholte Muster vermeiden
Den Passwort-Generator verwenden
Starke Passwörter manuell zu erstellen ist schwierig. Verwenden Sie stattdessen den Passwort-Generator:
Schritt 1: Konfigurieren
- Länge: 16-24 Zeichen empfohlen
- Zeichensatz: Groß-, Kleinbuchstaben, Ziffern, Symbole aktivieren
- Mehrdeutige Zeichen ausschließen: Wie
0/O,1/l/I
Schritt 2: Generieren
Klicken Sie auf „Generieren" — erzeugen Sie mehrere Passwörter zur Auswahl.
Schritt 3: Verifizieren
Fügen Sie das generierte Passwort in Passwortstärke ein, um zu bestätigen, dass es „Stark" oder „Sehr stark" erreicht.
Best Practices für Passwortsicherheit
1. Passwort-Manager verwenden
- Einzigartige zufällige Passwörter für jede Seite generieren
- Nur ein Master-Passwort merken
- Empfohlen: Bitwarden, 1Password, KeePass
2. Zwei-Faktor-Authentifizierung (2FA) aktivieren
Selbst wenn das Passwort geleakt wird, blockiert 2FA unbefugten Zugriff. TOTP gegenüber SMS-Verifizierung bevorzugen.
3. Regelmäßig auf Leaks prüfen
Nutzen Sie Dienste wie Have I Been Pwned, um zu prüfen, ob Ihre E-Mail in Datenlecks auftaucht.
4. Serverseitig: Bcrypt verwenden
Wenn Sie Entwickler sind, hashen Sie Passwörter immer mit Bcrypt (gesalzen) vor der Speicherung. Speichern Sie niemals Klartext-Passwörter.
Häufige Missverständnisse
„Komplexe Regeln = starkes Passwort"
Viele Seiten erfordern Groß+Klein+Ziffer+Symbol, aber P@ssw0rd erfüllt alle Regeln und wird dennoch von Wörterbuchangriffen trivial geknackt. Länge ist wichtiger als Komplexitätsregeln.
„Buchstaben durch Symbole zu ersetzen ist sicher"
p@$$w0rd-Substitutionsmuster sind bereits von Angriffstools abgedeckt. Verlassen Sie sich nicht auf einfache Zeichenersetzung.
„Mein Passwort nie zu ändern ist in Ordnung"
Wenn Ihr Passwort geleakt wurde, bedeutet Nicht-Ändern, dass Sie weiterhin exponiert sind. Prüfen Sie regelmäßig auf Leaks und ändern Sie es sofort bei Kompromittierung.
„Stärke-Prüfer lecken mein Passwort"
Die Passwortstärke von ToolsKu läuft vollständig in Ihrem Browser. Ihr Passwort wird niemals an einen Server gesendet.
Verwandte Tools
- Passwortstärke — Passwortsicherheit bewerten
- Passwort-Generator — Zufällige starke Passwörter generieren
- Bcrypt-Hash — Gesalzenes Hashing zur Passwortspeicherung
Zusammenfassung
Der Kern der Passwortsicherheit ist ausreichende Entropie, bestimmt durch Länge und Zeichensatzgröße. Verwenden Sie Passwortstärke zur Bewertung vorhandener Passwörter, den Passwort-Generator zum Erstellen starker Passwörter, und kombinieren Sie dies mit einem Passwort-Manager und 2FA für vollständige Kontosicherheit. Denken Sie daran: Länge zuerst, einzigartig pro Seite, lokale Verarbeitung, serverseitiges Salting.